Thực hiện điều tra số tổ chức Hoa Khuya

[full_width] Hoa Khuya Group Chúng tôi nhận được lời đồn đại về tổ chức có tên Hoa Khuya Group từ 1 số thành viên. Xác định đây là một ...

[full_width]

Hoa Khuya Group

Chúng tôi nhận được lời đồn đại về tổ chức có tên Hoa Khuya Group từ 1 số thành viên. Xác định đây là một vụ nghiêm trọng liên quan đến CP (Child Porn) nên chúng tôi tiến hành điều tra số trên trang web hoakhuya.com.
* Cảnh báo: Bài viết chứa hình ảnh, đường dẫn và văn bản không thích hợp cho trẻ nhỏ.
Dưới đây là những gì các bạn và chúng tôi đều đã biết:
https://next.voz.vn/t/hong-hot-vu-hoakhuya.15471/
Sau khi truy cập đường link trên chúng ta có rất nhiều video bệnh hoạn:

Và tài khoản để lưu phim (có vẻ tụi này chôm chỉa được đâu đó)

Thông tin chung

Sau khi truy cập hoakhuya.com, đây là trang đăng nhập: 

https://bbs.hoakhuya.com/login.php


Thông tin về Hoa Khuya Group trong mã nguồn

Email: [email protected]
Vậy đám này có github liên quan đến 1 công cụ rút ngắn link https://shota.one/
Đường dẫn tới github của công cụ này:
https://github.com/684102/shota.one
https://github.com/684102/shota.one/blob/master/index.php
Trên những gì quan sát được trong mã nguồn, chúng ta chắc chắn rằng công cụ này liên quan đến HoaKhuya.

Google Hacking 


site:hoakhuya.com
Index of?

Shodan

Không tìm thấy thông tin gì nhiều trên Shodan, ngoài 2 địa chỉ IP:

Yandex

Ngoài Google, ta có thể sử dụng Yandex, sau khi gõ từ khóa hoakhuya lên Yandex, tìm 1 hồi các bạn sẽ thấy được Twitter của 1 bạn tên Lý Minh, khi truy cập trang Twitter này thì không được, vì tài khoản cậu này đã bị khóa.
Tài khoản twitter bị khóa
Tuy nhiên ta có thể truy cập bộ nhớ đệm của Yandex để coi:
Trang cá nhân của cậu ta trước lúc bị khóa, rất sống động, với nội dung đồi trụy.
Nếu để ý các bạn sẽ thấy đường dẫn t.me/hoakhuya , khi truy cập thì nhóm này không còn trên Telegram nữa. Như vây đến cậu này cũng là 1 dead end.

Builtwith.com 

Đây là một trang web rất hay để biết thêm các công nghệ đằng sau trang web.

Ở tab Redirect Profile, ta có 1 domain nữa liên quan: thegioibetrai.com. Khi truy cập domain này nó tự chuyển về hoakhuya.com
Nhìn bên cạnh, ta có danh sách các subdomains

DNSDumpster

Đây cũng là công cụ rất tuyệt vời, có thể lên sơ đồ về trang web và server một tổ chức trong nháy mắt.
Host A records
Sơ đồ dựa trên DNS và các thông tin công khai

Github

Github là một nơi rất tuyệt, bạn có thể tìm thông tin trong các dòng code, từ đó chúng ta sẽ hiểu hơn về tổ chức và những nhà phát triển ứng dụng đứng đằng sau. Một câu lệnh tìm kiếm đơn giản cho ta các đoạn mã có chứa từ “hoakhuya
Dấu vết HoaKhuya trong mã nguồn
Logo HoaKhuya trong tệp tin
Chúng ta xác định được người dùng này có dính lứu tới tổ chức HoaKhuya
https://github.com/684102
Profile người dùng
Danh sách follower
Đinh Hiệp, người dùng này fork 2 phát từ người dùng kia???
Đây cũng là một trong những tài khoản dính líu trực tiếp tới Hoa Khuya
https://github.com/TheWolds/
Các bạn thấy .onion chứ?

Twitter

Twitter là tụ điểm để cộng đồng hoakhuya và ngoài hoakhuya hoạt động, nhiều video nhạy cảm trên này không bị kiểm duyệt.
https://twitter.com/search?q=hoakhuya&src=typed_query
Một số tài khoản đăng thằng trực tiếp clip lên twitter, tuy nhiên điều này nằm ngoài phạm vi mục tiêu của chúng ta nên trước mắt cứ tập trung vào hoakhuya đã. 
Tìm kiếm về hoakhuya trên twitter cho ta cả 1 cộng đồng
Tìm kiếm với từ khóa “hoa khuya”


Quay về quá khứ

Sử dụng WayBackMachine, chúng ta biết được trang web này bắt đầu xuất hiện từ 2017.
Năm 2017 chúng ta có 1 video ngay trang chủ, mẫu pinoy???
https://web.archive.org/web/20170923014008/https://hoakhuya.com/
Năm 2018, chắc đây là lúc developer trang này thích phủ sóng??
https://web.archive.org/web/20180717101305/https://bbs.hoakhuya.com/index.php?user=login
Truy cập trang phim 18+, vì còn mỗi trang này truy cập được, ta thấy đủ thể loại gay porn.
Năm 2019, sau khi truy cập trang dưới đây, ta thấy được một thông tin khá bất ngờ phía dưới : 
2010 – 2018??? Cộng đồng này tồn tại lâu đến vậy ư?

Hành trình tới bóng tối

Trong đoạn script tải porn có dính lứu đến Hoa Khuya mà ta tìm thấy ở trên, ta có thể thấy 1 đường dẫn tới địa chỉ onion trên dark web. Tìm kiếm thông tin về địa chỉ này ta có thể thấy dấu vết của nó ở một vài trang:
https://github.com/TheWolds/btwaterwall/blob/22c9b149feea9999c447260a94c609b9a2631b5f/userscript
Một nhóm hacker đã tìm ra cộng đồng dark web này và đã report:
Truy cập bằng Tor, ta biết được đây là một cộng đồng ấu dâm mà mục tiêu chủ yếu là các bé trai:
Tìm bé Việt Nam???
Okay, tới đây đủ rồi, tui xin kiếu
Như vậy diễn đàn này cũng không liên quan tới Hoa Khuya Group của chúng ta nhiều lắm, nhưng chúng ta cũng thấy được sự thật trần trụi của tâm trí con người, thể hiện ngay trên mạng Internet.

Yahoo

Có vẻ Yahoo hỏi đáp cũng là nơi hỏi các vấn đề nhạy cảm này???


Dò quét

Sử dụng nmap với mục tiêu của chúng ta:
nmap -T4 -A -v 46.4.132.102
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
Starting Nmap 7.80 ( https://nmap.org ) at 2020-03-31 20:57 SE Asia Standard Time
NSE: Loaded 151 scripts for scanning.
NSE: Script Pre-scanning.
Initiating NSE at 20:58
Completed NSE at 20:58, 0.00s elapsed
Initiating NSE at 20:58
Completed NSE at 20:58, 0.00s elapsed
Initiating NSE at 20:58
Completed NSE at 20:58, 0.00s elapsed
Initiating Ping Scan at 20:58
Scanning 46.4.132.102 [4 ports]
Completed Ping Scan at 20:58, 0.56s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 20:58
Completed Parallel DNS resolution of 1 host. at 20:58, 0.42s elapsed
Initiating SYN Stealth Scan at 20:58
Scanning static.102.132.4.46.clients.your-server.de (46.4.132.102) [1000 ports]
Discovered open port 80/tcp on 46.4.132.102
Discovered open port 443/tcp on 46.4.132.102
Discovered open port 2222/tcp on 46.4.132.102
Completed SYN Stealth Scan at 20:58, 14.55s elapsed (1000 total ports)
Initiating Service scan at 20:58
Scanning 3 services on static.102.132.4.46.clients.your-server.de (46.4.132.102)
Completed Service scan at 20:58, 14.01s elapsed (3 services on 1 host)
Initiating OS detection (try #1) against static.102.132.4.46.clients.your-server.de (46.4.132.102)
Retrying OS detection (try #2) against static.102.132.4.46.clients.your-server.de (46.4.132.102)
Initiating Traceroute at 20:58
Completed Traceroute at 20:58, 3.02s elapsed
Initiating Parallel DNS resolution of 23 hosts. at 20:58
Completed Parallel DNS resolution of 23 hosts. at 20:58, 13.62s elapsed
NSE: Script scanning 46.4.132.102.
Initiating NSE at 20:58
Completed NSE at 20:59, 24.05s elapsed
Initiating NSE at 20:59
Completed NSE at 20:59, 2.71s elapsed
Initiating NSE at 20:59
Completed NSE at 20:59, 0.00s elapsed
 
Nmap scan report for static.102.132.4.46.clients.your-server.de (46.4.132.102)
Host is up (0.30s latency).
Not shown: 995 filtered ports
PORT     STATE  SERVICE  VERSION
22/tcp   closed ssh
25/tcp   closed smtp
80/tcp   open   http     nginx
| http-methods:
|_  Supported Methods: GET POST OPTIONS
|_http-title: Did not follow redirect to https://hoakhuya.com/
443/tcp  open   ssl/http nginx
| http-methods:
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-title: Did not follow redirect to https://hoakhuya.com/
| ssl-cert: Subject: commonName=hoakhuya.com
| Subject Alternative Name: DNS:hoakhuya.com
| Issuer: commonName=Let's Encrypt Authority X3/organizationName=Let's Encrypt/countryName=US
| Public Key type: rsa
| Public Key bits: 2048
| Signature Algorithm: sha256WithRSAEncryption
| Not valid before: 2020-02-02T18:37:52
| Not valid after:  2020-05-02T18:37:52
| MD5:   aaab 63f8 16b7 2deb 81fa 3253 e1e5 ad50
|_SHA-1: 6244 898c 8fd8 df8c 4dd4 7071 2b9d 726e ed88 f20a
|_ssl-date: TLS randomness does not represent time
| tls-alpn:
|   h2
|_  http/1.1
| tls-nextprotoneg:
|   h2
|_  http/1.1
2222/tcp open   ssh      OpenSSH 7.4 (protocol 2.0)
| ssh-hostkey:
|   2048 2d:0e:99:09:77:25:98:3f:e4:5c:80:2f:b5:23:b4:4d (RSA)
|   256 24:30:55:c6:f4:04:ec:e6:dc:71:1b:76:7d:4e:19:79 (ECDSA)
|_  256 4a:59:9d:0a:45:5f:b6:7c:82:66:6e:a8:ee:9a:4c:9e (ED25519)
 
Aggressive OS guesses: Linux 4.4 (92%), Linux 3.10 - 3.12 (90%), Linux 4.9 (89%), Linux 4.0 (88%), Linux 3.11 - 4.1 (88%), Linux 3.16 (88%), Linux 2.6.32 (88%), Linux 2.6.32 or 3.10 (88%), Synology DiskStation Manager 5.1 (87%), Linux 3.10 - 3.16 (87%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 14.104 days (since Tue Mar 17 18:29:27 2020)
Network Distance: 25 hops
TCP Sequence Prediction: Difficulty=250 (Good luck!)
IP ID Sequence Generation: All zeros
 
TRACEROUTE (using port 22/tcp)
HOP RTT       ADDRESS
1   6.00 ms  
2   6.00 ms  
3   7.00 ms  
4   9.00 ms  
5   7.00 ms  
6   ...
7   8.00 ms  
8   9.00 ms  
9   61.00 ms 
10  46.00 ms 
11  53.00 ms 
12  53.00 ms 
13  343.00 ms ix-ae-26-200.tcore2.ldn-london.as6453.net (80.231.20.13)
14  339.00 ms ix-ae-26-200.tcore2.ldn-london.as6453.net (80.231.20.13)
15  320.00 ms 80.231.62.58
16  313.00 ms if-ae-14-2.tcore2.av2-amsterdam.as6453.net (80.231.131.161)
17  316.00 ms if-ae-3-2.tcore1.pye-paris.as6453.net (80.231.154.142)
18  335.00 ms if-ae-9-2.tcore2.fnm-frankfurt.as6453.net (195.219.87.9)
19  293.00 ms if-ae-4-2.tcore1.fr0-frankfurt.as6453.net (195.219.87.18)
20  280.00 ms if-ae-45-2.tcore1.fr0-frankfurt.as6453.net (195.219.50.20)
21  325.00 ms 195.219.219.10
22  336.00 ms core23.fsn1.hetzner.com (213.239.229.74)
23  324.00 ms ex9k2.dc5.fsn1.hetzner.com (213.239.229.118)
24  287.00 ms static.137.25.63.178.clients.your-server.de (178.63.25.137)
25  337.00 ms static.102.132.4.46.clients.your-server.de (46.4.132.102)
 
NSE: Script Post-scanning.
Initiating NSE at 20:59
Completed NSE at 20:59, 0.00s elapsed
Initiating NSE at 20:59
Completed NSE at 20:59, 0.00s elapsed
Initiating NSE at 20:59
Completed NSE at 20:59, 0.00s elapsed
Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 86.97 seconds
           Raw packets sent: 2088 (95.594KB) | Rcvd: 117 (9.958KB)
Nmap cho chúng ta vài cổng, tuy nhiên nó chỉ mở cộng 80 và 443 cho dịch vụ web, như vậy đây chính là server của tụi này.

Whois

Kết quả không khả quan lắm, do thằng này sử dụng dịch vụ che giấu thân phận.

Kết luận

Trên đây là bài báo cáo kết quả điều tra số đối với tổ chức Hoa Khuya Group, sau khi thực hiện điều tra, chúng tôi rút ra 1 số điểm lưu ý:
  • Server đặt tại nước ngoài, sử dụng dịch vụ WhoisGuard nên không biết được thông tin người đứng sau.
  • Đơn giản bằng các công cụ trực tuyến và có sẵn, chúng tôi đã moi móc được thêm 1 số thông tin về những thành phần có liên quan đến Hoa Khuya Group, tuy nhiên vẫn chưa kết luận được rõ ràng.
  • Cộng đồng này có từ 2017 hay 2010? Cái này vẫn chưa rõ.
  • Nhu cầu tình dục của con người là rất lớn. Thậm chí rất biến thái.
  • Chúng tôi không có tài khoản truy cập được vào bên trong, tuy nhiên nếu bạn nào có tài khoản truy cập được bên trong thì quá trình điều tra sẽ đầy đủ hơn.
  • Mong cộng đồng mạng giúp đỡ và chia sẻ để đưa tụi này ra ánh sáng.
  • Quá trình điều tra xin tạm dừng ở đây, các bạn có thể tiếp tục bằng các công cụ cào nội dung và subdomain web như gobuster.
Trần Long ,
Cyber Space

COMMENTS

Tên

.:: Connect Trojan ::.,111,.htaccess,2,0-day,3,2017,2,Add-on,16,Affiliate,1,Anotador,1,AutoIT,17,BackDoor,1,Bán Sách,13,banhangonline,1,Bảo Mật,170,Bất Động Sản Tại Tiền Giang,5,Bestsellers,13,Binder,1,blog,31,Blogger,4,Blogger Template,1,Botnet,3,Brute,1,Bug Bounty,1,Bypass,10,camera,1,ceh,1,Châu Tinh Trì,2,Checked,6,Chrome,21,Code,5,coin hive,1,Coin-Hive,2,CoinHive,1,Connect Trojan,342,Connect Trojan ::.,1,Cổ Tích,2,Crack,3,Crypto,5,CSRF,5,CSS,2,Cuộc Sống,1,Dau tu,8,DDoS,6,Designer,1,Dich vụ,1,DNS,4,Download,2,du-an,3,DVD LUMION Tiếng Việt của anh Dũng Già Pro,1,Đam Mỹ,1,điện,1,Đồ Họa,215,Đô Thị,16,e11.me,1,ebook,16,ebook free,295,eBook Phệ Hồn Nghịch Thiên,1,eBook Thịnh Thế Địch Phi,1,Encrypt,1,Encryption,1,epub,76,epub [Tiên hiệp],1,ET-Logger,1,exploit,23,Exploitation,1,Extractor,2,facebook,69,FireFox,15,Flood,2,Forensic,7,full prc,2,game,177,Gerador,3,Gerenciador,1,Get Root,3,GHDB,3,Giả Tưởng,1,giaitri,1,Google,15,H&Y Shop,2,Hacker,3,Hacking,16,Hacking and Security,6,Hacking Tools,36,Hành Động,3,He Thong Site Phim,25,Hijacking,6,Hình Sự,1,hivecoin.hive coin,1,Hỏi Xoáy Đáp Xoay Trên VTV3,1,HTML,1,Huyền Ảo,92,Hướng dẫn Internet cơ bản,1,IFTTT,703,Imgur,2,Infographic,1,Information Disclosure,1,Internet Explorer,3,IT News,39,J2TeaM,29,J2TeaM Tools,9,JavaScript,6,Javascript Injection,3,Juno_okyo's Blog,23,Khóa Học,32,Khóa Học kiếm tiền online với accesstrade,5,khoá học miễn phí,16,Khóa học Photoshop,19,Khóa học sử dụng mã độc và phòng chống mã độc,2,Khoa Huyễn,6,khuyến mãi,16,kiemhiep,9,Kiếm Hiệp,20,Kiếm Tiền MMO,34,kiếm tiền rút gọn link,1,KilerRat,1,Kinh Dị,24,Kinh Dị - Ma,4,Kinh Doanh,73,kinhdi,1,kinhdoanh,5,KRACK Attacks,1,Lãng mạn,1,lazada,1,Lập trình,2,Lịch Sử,5,Linux,1,Local Attack,2,Logins/Cadastro,1,Lỗi Web,1,Lược Sử Hacker,2,Mã Giảm Giá,2,Mã Hóa,48,Malware,3,Master-Code,31,Máy Tính,1,Metasploit,2,Microsoft,4,mobile hacking,2,monero,1,Movie,25,MySQL,1,NEW PRODUCTS,19,NGHỆ THUẬT ẨN MÌNH,13,ngontinh,10,Ngôn Tình,151,nhà đất,1,Nhà Đất Gò Công,1,Nhân Vật Lịch Sử,2,Nhật Bản,1,Nhựt Trường Group,1,NjRat,5,Nước,1,open redirect,1,Oracle,1,Path Disclosure,2,pdf,76,Pen-Test,6,Pentest Box,9,Phan mem Internet,1,phanmem,23,phanmemdienthoai,3,phanmemmaytinh,10,phần mềm,11,Phim 18,2,Phim 2012,1,Phim 3D,1,Phim Âm Nhạc,2,Phim Bộ,39,Phim Chiến Tranh,5,Phim Dã Sử - Cổ Trang,6,Phim Đài Loan,6,Phim Đề Cử,4,Phim Hài Hước,26,Phim Hàn Quốc,33,Phim HD Chất Lượng Cao,5,Phim Hoạt Hình,2,Phim Hot,1,Phim Hồng Kông,20,Phim HQ,2,Phim Kinh Dị,8,Phim lẻ,4,Phim Mới 2011,2,Phim Mới 2012,1,Phim Mới 2015,1,Phim Nhật Bản,4,Phim SD,3,Phim Thái Lan,6,Phim Thần Thoại,4,Phim Tình Cảm,35,Phim Trung Quốc,37,Phim Truyền Hình,19,Phim Viễn Tưởng,1,Phim Võ Thuật,36,Phim Xã Hội Đen,1,Phishing,5,PHP,16,Plugin,1,Port,1,post mẫu,1,prc,77,Programming,15,Python,1,Quảng Cáo,1,rat,457,Recovery,3,Remote Code Execution,1,Remote Desktop,1,Reverse Engineering,6,review,3,rút gọn link,1,sach,47,Sách,35,Sách Nghệ Thuật Sống,12,sách nói,1,Sách Tâm Linh,1,Sách Tiếng Anh,2,sachiep,2,Sản Phẩm,1,Sắc Hiệp,16,Scam,1,Scanner,10,Security,66,SEO,5,share,1,Shell,5,shop,1,Social Engineering,4,Software,22,Source Unity,1,SQL injection,21,Sức Khỏe,1,Symlink,3,Tài Chính,1,Tài chính cá nhân,2,Tài Liệu,1,Tản mạn,7,Taudio,2,Tâm lý xã hội,1,tấn công,1,Testador,1,Thái Lan,2,Tham Khảo,3,thamkhao,11,them,1,Thiệp Cưới,1,Thiết Kế Web,30,Thời Trang,2,Thủ Thuật Hacking,53,Thuyết Minh,1,tienhiep,5,Tiên Hiệp,123,Tiểu Thuyết,94,tiki,3,TIL,8,Tin Tức,52,Tips,39,tool,1,Tool Hack,14,Tools,9,Tổng Hợp,1,Tricks,26,Trinh thám,1,trojan original,48,Trọng sinh,11,Trộm mộ,1,Trung Quốc,1,Truyện,1,Trương Định,110,Tu Chân,2,TUTORIALS,124,Twitter,1,Ung_Dung,4,Upload,1,usb,1,vanhoc,11,văn học,6,vBulletin,7,video,16,Vietsub,1,Việt Nam,4,Virus,4,Võ Thuật,3,Võng Du,5,Vulnerability,19,Web Developer,15,webmau,5,WHMCS,3,WiFi,2,wiki lỗi máy tinh,1,wiki lỗi NTG,3,Windows,12,WordPress,43,Write-up,11,XSS,16,Yahoo,1,yeah1offer,1,youtube,11,
ltr
item
NhutTruong.Com - Chia sẻ kiến thức miễn phí: Thực hiện điều tra số tổ chức Hoa Khuya
Thực hiện điều tra số tổ chức Hoa Khuya
https://lh6.googleusercontent.com/Q-1y2kB2s604oD7pfAxvOo9TtQWLtIvwCq59FGYtjk9LDlOUymeHCF4NRkHZMxZ3DbqYtGrKHEGxYRQdn8ZYlVGQ47TB7aZrWEHW58b9OvFszZzDzN-SZPWsVZU3jPUt9-1ZH-a5
https://lh6.googleusercontent.com/Q-1y2kB2s604oD7pfAxvOo9TtQWLtIvwCq59FGYtjk9LDlOUymeHCF4NRkHZMxZ3DbqYtGrKHEGxYRQdn8ZYlVGQ47TB7aZrWEHW58b9OvFszZzDzN-SZPWsVZU3jPUt9-1ZH-a5=s72-c
NhutTruong.Com - Chia sẻ kiến thức miễn phí
https://www.nhuttruong.com/2020/04/thuc-hien-ieu-tra-so-to-chuc-hoa-khuya.html
https://www.nhuttruong.com/
https://www.nhuttruong.com/
https://www.nhuttruong.com/2020/04/thuc-hien-ieu-tra-so-to-chuc-hoa-khuya.html
true
7607280272436897486
UTF-8
Loaded All Posts Not found any posts VIEW ALL Readmore Reply Cancel reply Delete By Home PAGES POSTS View All RECOMMENDED FOR YOU LABEL ARCHIVE SEARCH ALL POSTS Not found any post match with your request Back Home Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share to a social network STEP 2: Click the link on your social network Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy Table of Content